Storm-2949 Explora Redefinição de Senha do Microsoft 365 para Drenar Dados da Nuvem

Storm-2949 Explora Redefinição de Senha do Microsoft 365 para Drenar Dados da Nuvem

A Microsoft publicou detalhes sobre uma campanha sofisticada em várias etapas realizada por um ator de ameaças rastreado como Storm-2949, visando organizações que executam ambientes Microsoft 365 e Azure. O que torna este ataque a credenciais na nuvem do Microsoft 365 particularmente impressionante é o ponto de entrada: uma funcionalidade que a maioria dos administradores considera rotineira e de baixo risco, especificamente a redefinição de senha de autoatendimento (SSPR). Uma vez lá dentro, os atacantes moveram-se discretamente pelo OneDrive, SharePoint e bases de dados SQL, extraindo dados de alto valor antes da deteção.

Esta campanha é um lembrete incisivo de que as plataformas na nuvem são tão seguras quanto as configurações e suposições que as rodeiam.

Como o Storm-2949 Armarizou a Redefinição de Senha de Autoatendimento

A redefinição de senha de autoatendimento é uma funcionalidade de conveniência amplamente implementada. Permite que os funcionários recuperem o acesso à conta sem contactar o TI, reduzindo a carga do helpdesk e o tempo de inatividade. A maioria das equipas de segurança trata-a como benigna. O Storm-2949 tratou-a como uma porta.

Ao abusar da funcionalidade SSPR, o ator de ameaças conseguiu comprometer identidades de utilizadores sem necessitar de quebrar palavras-passe por força bruta ou instalar malware. O ataque tirou partido de fragilidades na forma como o SSPR é configurado ou verificado, permitindo ao grupo assumir o controlo de contas legítimas. Uma vez redefinidas as credenciais e estabelecido o acesso, os atacantes confundiram-se com a atividade normal do utilizador, dificultando significativamente a deteção comportamental.

Esta abordagem é notável porque contorna muitos dos sinais que as ferramentas de segurança de endpoint foram concebidas para capturar. Não há nenhum executável malicioso, nenhum download suspeito, nenhuma assinatura de intrusão óbvia. O atacante simplesmente inicia sessão como um utilizador válido.

Que Dados Foram Expostos — e Porque é que o Armazenamento na Nuvem é um Alvo de Alto Valor

Após obter acesso inicial, o Storm-2949 moveu-se pelo ecossistema Microsoft 365 e Azure com um objetivo claro: extrair o máximo de dados de alto valor possível. O OneDrive e o SharePoint, utilizados na maioria dos ambientes empresariais para armazenamento e colaboração de documentos, foram alvos primários. Bases de dados SQL ligadas à infraestrutura Azure também foram acedidas e exfiltradas.

A escala do que as organizações modernas armazenam nestes serviços torna-as um foco óbvio para atores de ameaças sofisticados. Contratos comerciais, registos financeiros, dados de clientes, comunicações internas e investigação proprietária residem frequentemente no SharePoint ou OneDrive. As bases de dados SQL ligadas ao Azure contêm muitas vezes dados operacionais estruturados que podem ser monetizados ou utilizados para ataques subsequentes.

Este padrão reflete de perto o que foi observado noutros incidentes de recolha de credenciais em larga escala. O ataque de vishing do ShinyHunters que expôs 40 milhões de registos da Charter Communications seguiu uma lógica semelhante: obter acesso com aparência legítima e depois extrair o máximo de dados possível antes de os defensores responderem. O armazenamento na nuvem consolida um valor enorme num só local, o que é precisamente o que o torna um alvo.

Porque é que os Ataques Baseados em Credenciais Contornam as Defesas Tradicionais

A arquitetura de segurança tradicional foi construída em torno da ideia de que os atacantes arrombam a porta. Exploram vulnerabilidades de software, implementam malware ou intercetam tráfego de rede. As defesas perimetrais, as ferramentas antivírus e os sistemas de deteção de intrusões foram todos concebidos para capturar esses comportamentos.

Os ataques baseados em credenciais invertem essa suposição. O atacante não arromba; entra. Quando o Storm-2949 utiliza o SSPR para assumir o controlo de uma conta legítima, cada ação subsequente parece o utilizador a trabalhar normalmente. Os registos de acesso a ficheiros mostram uma identidade reconhecida. O tráfego de rede origina-se de serviços esperados. Os limiares de alerta afinados para capturar comportamentos anómalos podem nunca disparar.

Esta é a mesma categoria de risco que torna as vulnerabilidades de navegador e de plataforma tão perigosas. Investigadores no Pwn2Own Berlin 2026 demonstraram como zero-days do Windows 11 e Edge podiam ser encadeados para obter acesso profundo ao sistema, ilustrando que mesmo plataformas convencionais e de confiança contêm fraquezas exploráveis. A campanha do Storm-2949 mostra que a infraestrutura de identidade na nuvem comporta a mesma categoria de risco.

Uma vez que os atacantes estabelecem uma posição através da identidade em vez de exploits, a contenção torna-se significativamente mais complexa.

Mitigações Práticas: MFA, Registos de Auditoria e Configuração Mais Inteligente da Nuvem

A campanha do Storm-2949 aponta para medidas concretas que organizações e indivíduos podem tomar para reduzir a exposição.

Audite a sua configuração SSPR. Se a redefinição de senha de autoatendimento estiver ativada, verifique que métodos de verificação são exigidos. As opções de recuperação baseadas em telefone podem ser intercetadas ou alvo de engenharia social. Exigir múltiplos fatores ou restringir o SSPR apenas a dispositivos geridos aumenta significativamente a fasquia para os atacantes.

Impõe MFA resistente a phishing em todas as contas. A autenticação multifator padrão baseada em SMS oferece proteção real, mas permanece vulnerável a SIM-swapping e a certas táticas de engenharia social. As chaves de segurança de hardware ou os autenticadores baseados em aplicações que utilizam as normas FIDO2 são substancialmente mais difíceis de abusar.

Reveja as políticas de acesso condicional. Tanto o Microsoft 365 como o Azure oferecem controlos de acesso condicional que podem restringir inícios de sessão com base na conformidade do dispositivo, localização e sinais de risco. Muitas organizações têm estas funcionalidades disponíveis, mas não as utilizam.

Monitorize padrões de acesso a dados anómalos. Mesmo quando um atacante utiliza credenciais legítimas, aceder a centenas de documentos do SharePoint ou descarregar grandes volumes de ficheiros do OneDrive num curto espaço de tempo deve disparar alertas. Configurar o Microsoft Defender para Cloud Apps ou ferramentas de monitorização equivalentes para sinalizar o acesso a dados em massa é uma camada prática de deteção.

Considere proteções ao nível da rede para o acesso à nuvem. Utilizar uma VPN para impor que o acesso aos serviços na nuvem ocorra apenas através de percursos de rede conhecidos e monitorizados pode ajudar a limitar a superfície de ataque para a utilização indevida de credenciais a partir de localizações não familiares.

O Que Isto Significa Para Si

Quer faça a gestão de um grande ambiente empresarial ou utilize o Microsoft 365 pessoalmente para o trabalho, a campanha do Storm-2949 ilustra que a segurança na nuvem não é uma funcionalidade ativada por defeito. Plataformas como o Microsoft 365 e o Azure fornecem ferramentas de segurança poderosas, mas essas ferramentas exigem configuração deliberada e monitorização contínua para serem eficazes.

Se a sua organização depende do armazenamento na nuvem para dados sensíveis, este é o momento de auditar os seus controlos de identidade e acesso. Especificamente, reveja quem tem o SSPR ativado, como é verificado, se o MFA é aplicado de forma consistente e se a monitorização do acesso a dados está ativa.

Assumir que a plataforma trata da segurança automaticamente é exatamente a postura que esta campanha explorou. Umas poucas horas gastas a rever os controlos de acesso são um custo muito menor do que descobrir que os seus dados do OneDrive ou SharePoint foram silenciosamente exfiltrados ao longo de dias ou semanas.